V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
JustinJie
V2EX  ›  NAS

NAS 安全的使用方式

  •  
  •   JustinJie · 2020-12-16 21:06:32 +08:00 · 6849 次点击
    这是一个创建于 1198 天前的主题,其中的信息可能已经有所发展或是发生改变。
    • 个人搞了一个威联通, 鉴于网上 nas 各种被黑, 研究了一下 NAS 安全方式, 现在搞了 2 套, 求大佬们指点下, 哪种方式综合来说更好些
    • 首先 admin 用户被禁用了, ftp / ssh 都没有打开, 默认的 5000 / 5001 端口也改了, upnp 端口转发没有开启, 密码错误 3 次直接封 IP, 这些基础操作
    • 第一种: 个人域名直接登录, 在路由器里面端口跳转 nas 接口, 支持了 https , 登录也需要二次验证
    • 第二种: 设置了一个 pptp 的 vpn 连接, 直接走内网访问 nas
    • 以上第一种暴露在公网中, 但是做了 https 和 二次验证, 便捷性来说相对比较好, 第二种呢 , 不了解 vpn 会不会有什么坑, 路由器会不会被搞, 相对来说直接内网, 安全性更好些, 便捷性稍弱
    • v2 的大佬们给点什么意见, 或者还有更好的办法
    67 条回复    2021-02-19 13:54:49 +08:00
    Xusually
        1
    Xusually  
       2020-12-16 21:17:20 +08:00   ❤️ 1
    L2TP/IPSEC VPN,内网操作
    ZRS
        2
    ZRS  
       2020-12-16 21:24:45 +08:00 via iPhone   ❤️ 2
    不暴露到公网 VPN 回来操作
    JustinJie
        3
    JustinJie  
    OP
       2020-12-16 21:28:15 +08:00
    @Xusually # 1
    @ZRS # 2
    vpn 看起来稍微麻烦一点 ,
    用 vpn 的话, 不知道路由器密码稍微简单一点 , 不知道路由器会不会被黑呢 ?
    826540272
        4
    826540272  
       2020-12-16 21:45:10 +08:00
    密码复杂点就行了,黑你没价值
    xtx
        5
    xtx  
       2020-12-16 21:48:24 +08:00 via iPhone
    黑就黑吧,都是些小姐姐,主动传播违法,被动传播不算吧。
    ysc3839
        6
    ysc3839  
       2020-12-16 21:48:46 +08:00   ❤️ 1
    如果要用 VPN,不建议使用 PPTP,建议 OpenVPN 或者 WireGuard,这两个都是证书认证的,会安全很多。
    另外用路由器做 VPN 服务器的话,性能可能不足。
    JustinJie
        7
    JustinJie  
    OP
       2020-12-16 21:52:22 +08:00 via Android
    @xtx 哈哈哈 角度刁专啊
    JustinJie
        8
    JustinJie  
    OP
       2020-12-16 21:52:53 +08:00 via Android
    @826540272 哎 这个是的 主要图个心安
    JustinJie
        9
    JustinJie  
    OP
       2020-12-16 21:56:47 +08:00 via Android
    @ysc3839 不是用的路由器做的 vpn 服务器, 只是担心 vpn 链接会不会有隐患,路由器这边会不会是薄弱环节
    byte10
        10
    byte10  
       2020-12-16 21:57:29 +08:00   ❤️ 1
    VPN 最好了。不过可能手机连接 会麻烦点。
    tomychen
        11
    tomychen  
       2020-12-16 21:57:50 +08:00   ❤️ 1
    好像也就是 vpn 比较靠谱,改默认端口并不等于安全,被探测到只是时间问题,现在有很多全网扫描,很快就指纹识别到了,再者就是,现在安全的模式,可能在未来某个时间就不安全了。
    所以能在内网里使用就在内网用吧,暴露的越少越安全。
    JustinJie
        12
    JustinJie  
    OP
       2020-12-16 21:59:45 +08:00 via Android
    @byte10 嗯嗯 目前也就试了下电脑连接 如果大家都推荐 vpn 的方式 我就研究下手机端的
    JustinJie
        13
    JustinJie  
    OP
       2020-12-16 22:03:28 +08:00 via Android
    @tomychen 好的 了解了 如果搞个小项目部署 nas 上 只暴露项目端口 看起来也会导致风险了 ?
    Kilerd
        14
    Kilerd  
       2020-12-16 22:17:06 +08:00   ❤️ 1
    国内的 wireguard 不建议,udp 被丢包丢包直接握手就失败了。
    tomychen
        15
    tomychen  
       2020-12-16 22:28:38 +08:00   ❤️ 1
    @JustinJie 你说的风险,我这统一归为“安全风险”来看待吧,我提过的 “现在的安全模式,可能在未来某个时间段就不安全了”。 涵盖的说法也是类似的说法, 小项目到底多小?风险评估又由谁来做呢?

    或者简单的说,我放个纯 html 总不会有风险吧,好像没啥问题,但是 webserver 有了安全漏洞呢?(假定 nginx),当然,现在并没有,以后都不会有吗?

    所以你说小项目会不会有风险?这是很难回答的一个问题。如果要想规避风险最直接的办法就是减少暴露,减少接触,但这中间又会牺牲到很多便利性,因为安全和方便永远是对立面的。所以这中间的成本就要你自己来评估,是安全重要,还是方便重要,再找一个相对的折中方案,就算完成一个“安全”方案了
    xiaoz
        16
    xiaoz  
       2020-12-16 22:46:18 +08:00   ❤️ 2
    买 NAS 不就是图方便吗,我觉得基本的安全做到位就行了。
    iphoneXr
        17
    iphoneXr  
       2020-12-16 22:58:24 +08:00 via iPhone   ❤️ 1
    我目前的方案是 openvpn 手机端。
    电脑端走阿里云 ecs 的备案域名配合 nginx 的限制,如 geoip 深圳(最方便)或者公司固定 ip 、用户名密码啥的 。二级域名跳转对应内网服务再二次用户认证,感觉还算方便和安全。
    imgbed
        18
    imgbed  
       2020-12-16 23:27:11 +08:00   ❤️ 1
    我用默认端口时经常被人尝试登录,端口改了之后就没有了
    ferock
        19
    ferock  
       2020-12-17 01:03:20 +08:00 via iPhone   ❤️ 1
    不要太纠结了…担心就 openVPN,如果公网只暴露 5001 的 https,二次验证加 ip 拖黑,问题不太大
    sinxccc
        20
    sinxccc  
       2020-12-17 01:12:02 +08:00   ❤️ 2
    扫端口这种完全没办法,除非上独立防火墙,否则只能让他扫了。

    我觉得按照目前的大众硬件水平,二次验证的 https 登录和基于足够强度 key 的 ssh 还是安全的。
    nuk
        21
    nuk  
       2020-12-17 04:40:08 +08:00   ❤️ 1
    用 nginx 转发域名,这样用 ip 访问的就到不了 nas
    把自己的域名藏好就行了
    不管要不要登录,直接暴露 http 服务给任何访问者都是很危险的,毕竟总免不了做匿名分享吧?
    wanguorui123
        22
    wanguorui123  
       2020-12-17 08:13:54 +08:00 via iPhone   ❤️ 1
    安全性是相对的,即使 VPN 也可能存在漏洞,其次是应用程序、WebServer 、操作系统。
    带合法证书 VPN 安全性相对高些。
    villivateur
        23
    villivateur  
       2020-12-17 08:21:37 +08:00 via Android   ❤️ 1
    @Kilerd wireguard 挺好的,国内互联不会丢包,我这边三网互联可以跑满速
    chintj
        24
    chintj  
       2020-12-17 08:49:09 +08:00   ❤️ 1
    种种需求,搞了 tinc 的大内网,不知道怎样。
    JustinJie
        25
    JustinJie  
    OP
       2020-12-17 09:20:11 +08:00
    @Kilerd # 14 好的 open vpn 和 L2TP/IPSEC VPN 的方式应该可以吧
    JustinJie
        26
    JustinJie  
    OP
       2020-12-17 09:22:15 +08:00
    @tomychen # 15 是的 是这么个问题 主要还是个人练手的 数据相对来说可能更重要一点, 这个以后在考虑下, 不行还有良心云
    JustinJie
        27
    JustinJie  
    OP
       2020-12-17 09:23:30 +08:00
    @xiaoz # 16 是的 和我想的是一样的 不过如果 vpn 都弄好了 我可以直连路由吧 把端口打开 相对来说就多了一步验证
    JustinJie
        28
    JustinJie  
    OP
       2020-12-17 09:26:03 +08:00
    @iphoneXr # 17 我研究一下 你这个电脑端的限制 应该是够用了, 不过对我这个小白来说有点复杂了, 大佬有推荐教程吗 ?
    JustinJie
        29
    JustinJie  
    OP
       2020-12-17 09:26:44 +08:00
    @imgbed # 18 是的 基础操作要先坐好
    polymerdg
        30
    polymerdg  
       2020-12-17 09:29:03 +08:00   ❤️ 1
    SS 加密通道 连回来 不香吗
    testcaoy7
        31
    testcaoy7  
       2020-12-17 09:30:11 +08:00   ❤️ 1
    @JustinJie OpenVPN 确实可以,但是你要会配。L2TP 不安全不要用,IPSEC 用 StrongSWAN ( IKEv1 或者 IKEv2 )
    JustinJie
        32
    JustinJie  
    OP
       2020-12-17 09:30:58 +08:00
    @ferock # 19 目前公网也没有暴露 5001 换了端口跳转, https , 二次验证, ip 拉黑倒是支持了, 看起来确实风险比较小了 vpn 的方式 倒不是 open vpn , 如果走 vpn 应该不会用 pptp 的方式了
    JustinJie
        33
    JustinJie  
    OP
       2020-12-17 09:32:38 +08:00
    @sinxccc # 20 ssh 倒是没放开, 想用的时候再打开一下, 毕竟 ftp 和 ssh 用的都事比较多的
    JustinJie
        34
    JustinJie  
    OP
       2020-12-17 09:39:01 +08:00
    @nuk # 21 好的
    1. 虑下用 nginx 转发域名, ip 访问的到不了 nas 这个是什么意思 ? 大家不都是有 ip 的吗 ?
    2. 我也想藏好域名 不过买个域名就是图好记一点 我是域名 CNAME 花生壳的域名, 路由器自带的 ddns 方式, 然后再端口转发
    3. 直接暴露总归是有风险的, 但是我其实没啥重要信息, 让别人来黑的
    JustinJie
        35
    JustinJie  
    OP
       2020-12-17 09:40:05 +08:00
    @wanguorui123 # 22 带合法证书的 vpn ? 我目前直接用的 威联通的 vpn Service 这个是有证书的吗 ?
    JustinJie
        36
    JustinJie  
    OP
       2020-12-17 09:42:19 +08:00
    @villivateur # 23 好的 待会研究下 wireguard
    JustinJie
        37
    JustinJie  
    OP
       2020-12-17 09:44:42 +08:00
    @chintj # 24 又是一种 vpn ? 哎, 技术永无止境
    JustinJie
        38
    JustinJie  
    OP
       2020-12-17 09:45:15 +08:00
    @polymerdg # 30 小飞机 ?
    lewis89
        39
    lewis89  
       2020-12-17 09:45:30 +08:00   ❤️ 2
    VPN 吧 别想那么多,VPN 出现就是干这个事情的,让你的私有网络安全化。
    JustinJie
        40
    JustinJie  
    OP
       2020-12-17 09:46:30 +08:00
    @testcaoy7 # 31 嗯嗯 好的 我晚点研究下 这两种方式
    JustinJie
        41
    JustinJie  
    OP
       2020-12-17 09:50:08 +08:00
    @lewis89 # 39 看来大部分都推荐 vpn 的方式
    iphoneXr
        42
    iphoneXr  
       2020-12-17 09:51:26 +08:00 via iPhone   ❤️ 1
    @JustinJie 那还是推荐折腾 openvpn 吧,偷懒就弄个爱快软路由,带的各种 vpn 也挺实用。
    ungrown
        43
    ungrown  
       2020-12-17 10:01:12 +08:00   ❤️ 1
    走虚拟内网,vpn 或者 zerotier 或者其他什么的,反正变成私有网络,剩下的都是内网安全管理的事情了
    zarte
        44
    zarte  
       2020-12-17 10:07:56 +08:00   ❤️ 1
    不暴露外网最安全哈哈。
    Te11UA
        45
    Te11UA  
       2020-12-17 10:46:11 +08:00   ❤️ 2
    如果不太懂的话,建议还是不要接入公网,看起来你的需求也并没有特别强烈,保留 VPN 就可以
    ferock
        46
    ferock  
       2020-12-17 11:19:04 +08:00 via Android   ❤️ 1
    @JustinJie #33

    我 https 走公网,ssh 走 vpn,方便安全两不误
    jigong1234
        47
    jigong1234  
       2020-12-17 11:41:15 +08:00   ❤️ 1
    白群晖用群晖官方的远程登录,会被黑吗
    imnpc
        48
    imnpc  
       2020-12-17 11:45:52 +08:00   ❤️ 1
    我目前采用的是
    高位访问端口 + 自己域名 + SSL + 两步验证 + 错误多次封 IP 目前没有被扫描登录过
    hafuhafu
        49
    hafuhafu  
       2020-12-17 11:48:48 +08:00   ❤️ 1
    不懂就问,威联通用 Qfile 连回去有啥安全隐患吗?我也没公网 IP,但是用 myQNAPcloud 分配的那个二级域名能连回去。
    tankren
        50
    tankren  
       2020-12-17 11:53:08 +08:00   ❤️ 1
    web 服务走反向代理 https 防火墙只对国内开放 443
    ssh 走 openvpn
    disk
        51
    disk  
       2020-12-17 12:18:36 +08:00   ❤️ 1
    @Kilerd 个人经验连国内的话没问题,不会被阻断的,除非你的 ISP qos 很严重。
    JustinJie
        52
    JustinJie  
    OP
       2020-12-17 13:57:48 +08:00
    @iphoneXr # 42 路由器刚换的 短时间不会换了
    @ferock # 46 看起来确实 安全方便
    @jigong1234 # 47 不太了解
    @imnpc # 48 我目前第一种和你一样 看起来应该没有太大问题
    @hafuhafu # 49 看起来没啥问题 有问题的话证明威联通已经被黑了
    @tankren # 50 好的 晚一点研究下 https 防火墙这个还没有关注过
    @disk # 51
    wlh
        53
    wlh  
       2020-12-17 14:08:46 +08:00   ❤️ 1
    不开放公网访问,建 frp 或者 zerotier 访问
    JustinJie
        54
    JustinJie  
    OP
       2020-12-17 15:07:05 +08:00
    @wlh # 53 类似的 vpn 内网访问 ?
    bbis
        55
    bbis  
       2020-12-17 15:22:30 +08:00 via iPhone   ❤️ 1
    最近入手 TS 453DMINI,有一段时间经常被扫端口,ssl 都是映射其他端口,例如 54102
    开启 SSL 证书,域名访问➕改默认端口
    PerFectTime
        56
    PerFectTime  
       2020-12-17 15:25:40 +08:00   ❤️ 1
    NAS 起一个 VPN 服务,把 VPN 端口在路由器上映射出去,推荐 softethervpn,有图形化管理界面

    docker run -d --cap-add NET_ADMIN --restart always --name softether -p 500:500/udp -p 4500:4500/udp -p 1701:1701/tcp -p 1194:1194/udp -p 5555:5555/tcp -v vpn:/usr/vpnserver/ -e SPW=yourpassword siomiz/softethervpn
    JustinJie
        57
    JustinJie  
    OP
       2020-12-17 15:50:36 +08:00
    @bbis # 55 你们都是怎么看被扫描端口的 ? 我怎么感觉我之前都开的默认端口没有这个情况呢 ?
    JustinJie
        58
    JustinJie  
    OP
       2020-12-17 15:51:08 +08:00
    @PerFectTime # 56 好的 感谢
    popoer
        59
    popoer  
       2020-12-17 15:58:12 +08:00   ❤️ 1
    默认端口改了就好了,除非跟你有利益关系一定要来黑你,其他那些全网扫描的才没有那么多精力去扫描非标准端口呢
    xiafengjieying
        60
    xiafengjieying  
       2020-12-17 16:18:43 +08:00   ❤️ 1
    我也是 qnap,除了有几次开了 ssh 服务忘了关,其他的都没有问题,改了默认端口
    evilangel
        61
    evilangel  
       2020-12-17 19:14:01 +08:00   ❤️ 1
    设置好 DDNS,家里一个 Linux 装好梯子服务端,路由器配置好端口映射只放 SSR 端口,Surge 上做好策略所有 192.168/16 地址就自动翻回家,其他地址、域名按照正常规则走。。。任何时间任何地点都跟在家一样,太舒服了!!!!
    laminux29
        62
    laminux29  
       2020-12-18 01:04:03 +08:00   ❤️ 1
    目前通道类的信息安全,根本不需要改端口以及密码错 N 次就封 IP,这些都是那种不懂信息安全的小学生搞出来的名堂。

    通道类的信息安全,只需要注意两件事情:

    1.密码的复杂度。我在这个帖子的 35 楼已经给出了具体方案: https://www.v2ex.com/t/735788#reply35

    2.单一类型通道的 0day 。

    通道类型越单一,使用就越方便,被 0day 的几率就越大。

    为了安全,可以套两层甚至多层通道,但这样子做,使用就很不方便了。
    qbqbqbqb
        63
    qbqbqbqb  
       2020-12-19 16:07:03 +08:00   ❤️ 1
    @testcaoy7 纯 L2TP 确实不安全,但是一般都用 L2TP/IPSEC,这个是安全的,而且电脑手机都不用安装客户端
    JustinJie
        64
    JustinJie  
    OP
       2020-12-19 16:43:22 +08:00
    @evilangel # 61 好的 有空我在研究下

    @laminux29 # 62 是的 越安全的方法 便捷性就要低些, 完全要看个人数据的重要程度了
    LnTrx
        65
    LnTrx  
       2020-12-20 15:35:12 +08:00
    VPN 的易用性毕竟还是不如网页。如果只是担心被黑的话,强密码+强制网页登陆界面走 https 的安全性已经挺好了。网页界面可能出 0day,VPN 也可能出 0day,但不大可能直接用于攻击个人用户。
    bbis
        66
    bbis  
       2021-01-05 17:17:38 +08:00 via iPhone
    前几天无意中打开了防火墙,可以设置禁止国外 IP 访问就可以杜绝 99%的扫描
    tankren
        67
    tankren  
       2021-02-19 13:54:49 +08:00
    暴露到公网的也可以的 网管防火墙做做好 我的反代只允许大陆 IP 访问
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2957 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 46ms · UTC 15:13 · PVG 23:13 · LAX 08:13 · JFK 11:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.